Чеклист соблюдения GDPR – Объяснение требований аудита. Общий регламент по защите данных (GDPR) направлен на защиту конфиденциальности граждан ЕС. Следовательно, любая компания, обслуживающая рынок Европейского союза, должна соблюдать требования GDPR. Прежде всего, это правовая структура, созданная для защиты граждан ЕС и предоставления им контроля над их онлайн-данными.
Таким образом, правила GDPR запрещают организациям получать информацию о пользователях без их согласия. Вы должны получить разрешение пользователя на сбор и использование их данных. Прежде всего, GDPR стремится обеспечить полную защиту конфиденциальности и позволить гражданам выбирать, кто может собирать, анализировать и использовать их данные.
В этой статье обсуждаются требования к соблюдению GDPR, которым должны соответствовать организации для получения сертификата.
Давайте начнем с Чеклиста соблюдения GDPR – Объяснение требований аудита?
Также читайте Чеклист соблюдения SOX – Объяснение требований аудита (Лучшие практики)
Кто попадает под действие GDPR?
Во-первых, GDPR разработан для защиты граждан в Европейском союзе (ЕС) и Соединенном Королевстве. Следовательно, любая организация, действующая в этих регионах, должна быть соответствующей требованиям. Кроме того, компании за пределами ЕС и Великобритании также обязаны соблюдать требования GDPR, если они обрабатывают данные из этих регионов. Например, компания, базирующаяся в США, которая обрабатывает данные из ЕС и Великобритании, должна быть соответствующей GDPR.
Следует отметить, что некоторые требования GDPR могут быть неприменимы, если обработка данных не является основным компонентом вашего бизнеса. В основном, вам не нужно назначать Ответственного за защиту данных (DPO), если вы не проводите обработку данных.
10 требований к соблюдению GDPR
Что ж, с чеком GDPR Compliance Checklist – Audit Requirements, вы должны знать, что GDPR имеет десять требований, которые организации должны выполнить, чтобы стать соответствующими. Вот они:
1. Справедливая, прозрачная и законная обработка данных
Прежде всего, GDPR требует, чтобы организации документировали законные основания при обработке данных пользователей. Сначала вы должны информировать лиц о сборе персональных данных. Затем вы предоставляете действительные причины, почему ваша организация собирает и обрабатывает персональные данные. После этого вся обработка данных должна основываться на законной цели.
Учитывая все вышесказанное, ваша организация должна уточнить конкретный период для хранения данных. Кроме того, вы должны уведомлять их о любых изменениях в процессах сбора или обработки данных.
2. Проверьте политики защиты данных
Для соблюдения GDPR вам необходимо внедрить политику защиты данных. Если у вас уже есть политика защиты данных, вам следует регулярно проверять ее и поддерживать в актуальном состоянии. В результате ваша политика защиты данных должна обеспечивать конфиденциальность информации по дизайну. Все внедренные технические и организационные меры должны интегрировать меры по соблюдению данных.
3. Проведите оценку влияния на защиту данных (DPIA)
следующее требование чек-листа соблюдения GDPR – требования аудита предполагают, что организации, обрабатывающие чрезвычайно чувствительные данные, должны провести оценку влияния на защиту данных (DPIA). DPIA анализирует возможное влияние деятельности вашей организации по обработке данных на пользователей.
A DPIA is a cybersecurity risk assessment process, that helps your organization identify and minimize data protection risks. It is mandatory when you introduce changes in the data processing process. The DPIA also ensures you do not violate the users’ data protection rights.
4. Внедрите соответствующие меры по защите данных
Одновременно GDPR требует от организаций внедрения правильных мер безопасности данных. Вы должны внедрить соответствующие инструменты и меры кибербезопасности, чтобы предотвратить несанкционированный доступ к данным. Идеально было бы внедрить сетевые и инструменты безопасности данных, контроль доступа и инструменты управления внутренними рисками.
Инструменты безопасности данных включают резервное копирование данных, антивирусные программы, системы предотвращения утечки данных (DLP), а также шифрование данных и токенизацию. Кроме того, вы можете обеспечить безопасность своей корпоративной сети с помощью VPN, брандмауэров и многоуровневой сетевой безопасности. Важным шагом является внедрение мониторинга сети в реальном времени для обнаружения любых аномальных действий в вашей сети.
Контроль доступа обеспечивает доступ к данным только авторизованных пользователей. В зависимости от характера вашей организации вы можете реализовать доступ с минимальными привилегиями, аутентификацию с несколькими факторами и управление идентификацией и доступом. Для минимизации внутренних угроз вы можете внедрить мониторинг сотрудников и аналитику поведения пользователей.
5. Реализация прав пользователей на конфиденциальность
Также, GDPR предоставляет пользователям различные права конфиденциальности, чтобы обеспечить им контроль над своими данными. По сути, существует восемь прав, которые ваша организация должна предоставить пользователям данных. Среди них:
Право на получение информации
Информируйте лиц о типе данных, которые вы собираете и как ими пользуетесь. Кроме того, вы должны уведомить их о том, как вам нужны данные и делитесь ли вы ими с третьими сторонами.
Право на доступ
Очевидно, что GDPR требует от организаций предоставлять пользователям доступ к данным. Всякий образом, любое физическое лицо может подать запрос на доступ к субъекту данных (DSAR), который обязывает организации предоставлять копии данных заинтересованным лицам. Вы должны предоставить эти данные в течение месяца с момента запроса, за исключением случаев исключения.
Право на исправление
Организация должна исправить данные пользователя, если они некорректны или неполные. Пользователь может попросить организации внести изменения.
Право на удаление
A data subject can request the organization to erase data, if it’s no longer necessary or unlawfully processed. Being that, the organization grants this right, provided it’s based on factual grounds.
Право на возражение
Пользователи имеют право возражать против сбора и обработки данных, независимо от того, является ли это законным. Это происходит, если организация не предоставляет вескую причину, превышающую права и свободы пользователя.
Право на переносимость
В случае если физические лица предоставляют персональные данные контролерам данных с согласия, у них есть право получить и повторно использовать свои данные.
Право на ограничение обработки
В целом, физическое лицо имеет право ограничить обработку, когда они больше не используют проект. Это применимо, когда организации необходимо использовать данные для юридического иска.
Права на принятие решений
GDPR устанавливает строгие правила в случаях, когда данные обрабатываются автоматически для принятия решений без участия человека. Участники имеют право оспорить обработку и потребовать проверки обработки, если они считают, что организация не соблюдает правила.
6. Составьте документ о соответствии GDPR
Поддержание правильных документов является жизненно важным для соответствия GDPR. Докажите властям, что все данные обрабатываются законно в соответствии с правилами. Вы можете составить карту дневника GDPR, показывающую, что процесс обработки данных вашей организации соответствует установленным правилам.
7. Назначьте специалиста по защите данных
A data protection officer (DPO) is a person or entity contracted to oversee compliance and stay in touch with any data breach risks. The DPO can be an in house employee or an outsourced third party who understands GDPR data protection requirements.
A data protection officer is mandatory if the organization is a public body or an authority. Also, organizations that perform large scale data processing or that handle special data should have a data protection officer.
Роли DPO включают:
- Наблюдение за процедурами обработки данных.
- Выступать в качестве посредника между организацией и регуляторами GDPR.
- Советы организации по лучшим практикам соблюдения GDPR.
- Обеспечение точных оценок воздействия на защиту данных.
Поскольку характер задачи требует, чтобы DPO должным образом понимал законы GDPR и лучшие практики.
8. Сообщить о нарушении данных
Кроме того, GDPR требует от пользователей немедленно сообщать о нарушениях данных. И процессоры, и контроллеры должны сообщать о нарушениях данных в течение 72 часов после обнаружения. Однако это не обязательно, если инцидент не наносит вреда правам и свободам пользователей. Процессоры данных должны уведомить контроллер данных, который, в свою очередь, должен уведомить Уполномоченный орган по защите данных (DPA).
Следовательно, вы должны предоставить DPA описание природы нарушения данных. Также следует предоставить информацию о количестве субъектов данных и возможных последствиях. В документе укажите все меры, принятые для снижения влияния на нарушение данных.
9. Обучение сотрудников
GDPR требует, чтобы организации обучали сотрудников требованиям и процедурам защиты данных для минимизации рисков утечек данных. Обучите всех сотрудников личной конфиденциальности данных, потенциальным угрозам кибербезопасности и последствиям невыполнения требований. В рамках учебной программы вы подчеркиваете осведомленность о обработке данных. Кроме того, учебные материалы должны регулярно обновляться с соответствующими примерами нарушений кибербезопасности.
10. Регулярно оценивайте риски от третьих сторон
Также важно, что GDPR требует, чтобы организации оценивали риски безопасности, создаваемые третьими сторонами. Организация должна внедрить механизмы устранения последствий для предотвращения утечек данных из-за работы с третьими сторонами.
Продолжение с проверочным списком соответствия GDPR – Объяснение требований аудита, мы объясним принципы GDPR.
Улучшите ваше соблюдение активного каталога и безопасность и Azure AD
Попробуйте нас бесплатно, доступ ко всем функциям. – Доступно более 200 шаблонов отчетов AD. Легко настраивайте свои собственные отчеты AD.
Принципы GDPR
GDPR имеет различные принципы которые обобщают многие его требования. Например, он определяет принципы обработки, хранения и использования персональной информации. Есть семь ключевых принципов GDPR:
Законность, справедливость и прозрачность
Все обработка персональных данных должна осуществляться на справедливых и законных основаниях. Кроме того, владельцам данных должно быть прозрачно, как их персональные данные собираются, используются и обрабатываются. Этот принцип также требует, чтобы информация, касающаяся персональных данных, была доступна и представлена на языке, понятном для всех. Кроме того, пользователи, дающие свое согласие, организация также должна выполнять юридические обязательства. Вы не должны скрывать информацию о том, что данные вы собираете.
Ограничение целей
Второй принцип GDPR устанавливает ограничения на деятельность по использованию данных. Это означает, что вы обрабатываете данные только для установленных целей, которые сообщаются через уведомление о конфиденциальности. Не обрабатывайте данные для других целей, кроме заявленных, и должны сообщаться с субъектами данных для согласия.
Минимизация данных
Собирайте только минимальное количество данных, необходимое для ваших целей. Например, если вам нужна контактная информация пользователей, например, адрес электронной почты, вы не должны запрашивать ненужную информацию, такую как физическое местоположение, номера телефонов и т. д., поскольку они не связаны с конкретной целью.
Точность
Всегда проверяйте точность собранных и хранимых данных. В идеале у вас должен быть процесс аудита для проверки того, являются ли данные правильными и полными.
Ограничение хранения
Укажите и обоснуйте количество, на которое вы намерены хранить данные пользователей. Это гарантирует, что вы не храните их дольше, чем необходимо. После того, как организация выполнит свои потребности, она должна незамедлительно удалить данные. В случае, если организация должна хранить данные дольше, чем необходимо, она должна установить период хранения и обосновать его.
Целостность и конфиденциальность (безопасность)
GDPR требует, чтобы организации обрабатывали данные пользователей таким образом, чтобы обеспечивать безопасность и защиту. В идеале любые виды обработки должны защищать данные от повреждения или уничтожения, незаконной обработки и случайной потери. По сути, ваша организация должна внедрить лучшие возможные меры для защиты персональных данных. К таким мерам относятся оценка уязвимостей, шифрование данных, создание резервных копий в удаленных местах и многое другое.
Ответственность
Этот принцип связан с тем, что организация берет на себя ответственность при обработке данных пользователей. Как обработчик данных, вы должны действовать ответственно при обработке персональных данных в соответствии с GDPR. В основном, вы должны быть привержены выполнению различных требований и должным образом документировать их.
Также читайте Попробуйте инструмент управления Office 365
Как провести аудит по GDPR
Точно так же аудит соответствия GDPR audit отличается от одной организации к другой, в зависимости от характера аудита персональных данных. Прежде чем получить сертификат, организация должна провести аудиты для оценки уровней своего соответствия. Аудиты GDPR уделяют большое внимание кибербезопасности и управлению данными. Здесь с чек-листом соответствия GDPR – требования к аудиту, есть шаги, связанные с аудитом GDPR:
1. Создайте план аудита GDPR
Первым шагом к аудиту GDPR является создание плана аудита. В основном, это набор пошаговых письменных и действенных процессов, которые нужно проверить во время аудита. Организация должна быть осведомлена о данных, которые она хранит на протяжении всего жизненного цикла. Также убедитесь, что классификация персональных данных в зависимости от того, как вы их собираете, и откуда они поступают.
2. Проверьте пробелы в соответствии с GDPR
После создания отчета об аудите, проверьте текущую программу соответствия GDPR. Вы должны проверить записи обработки данных, механизмы передачи данных, процесс DSAR пользователя, принципы конфиденциальности и контроль безопасности. По сути, это фаза обнаружения, которая позволяет вам выяснить, соответствует ли организация правилам GDPR.
После проверки соответствия аудитор должен создать отчет, в котором будут описаны текущие процессы и области, не соответствующие правилам GDPR.
3. Устранение пробелов в соответствии
Как только аудиторы выявят пробелы в соответствии, организация должна принять подход к исправлению, основанный на рисках. Проверьте отчет на соответствие требованиям и принципам GDPR и исправьте любые несоответствующие области. В идеале вы должны начать с областей высокого риска, которые могут иметь пагубное влияние на организацию.
4. Проверка усилий по исправлению
Заключительный процесс заключается в проверке того, устраняет ли процесс исправления пробелы в соответствии. Вы должны проверить, соответствуют ли системы и процессы организации требованиям GDPR. Протестируйте внедренные процессы и контроль, чтобы убедиться, что пробелов нет. После завершения этого процесса проведите аудит, чтобы убедиться, что ваша организация соответствует всем требованиям.
Важно отметить, что аудит соответствия GDPR – это постоянный процесс. Вы должны проводить эти аудиты регулярно, особенно если вы меняете основные организационные процессы и системы.
Спасибо за прочтение чек-листа соответствия GDPR – объяснение требований аудита. Мы завершим эту статью.
Чеклист по соответствию GDPR – Объяснение требований аудита Заключение
Соблюдение требований GDPR – это сложный процесс, который требует наличия высококвалифицированной технической команды, квалифицированного DPO и информированных сотрудников. Ваша организация должна реализовать все необходимые системы защиты данных и обеспечить безопасное и законное сбор, хранение и обработку пользовательских данных.
Для получения больше советов по кибербезопасности читайте наш блог!
Source:
https://infrasos.com/gdpr-compliance-checklist-audit-requirements-explained/